Вопрос о том с чего начать новому CISO всегда интересен, я и сам много об этом писал, аж с 2014-ого года.

Очевидно, начать надо с аудита, но на что обратить внимание в первую очередь - есть варианты. Нам всегда проще выбирать то, что нам подходит, из какого-либо каталога (например, когда я работал архитектором безопасности в ИТ-проектах, я очень любил 53-ий NIST, поскольку это как раз и есть каталог контролей, из которого можно уже выбирать то, что мне релевантно). Поэтому полезно иметь множество различных взглядов на наиболее приоритетные направления, а уже стоя на плечах гигантов, нам будет проще составить программу самооценки.

Вот, ребята из Бизон продвигали свои услуги по аудиту. На мой взгляд из них (презентация во вложении, есть запись) вполне можно надергать идей для составления собственной программы self-assessment-а пришедшему в поле CISO.

Единственное, что я бы добавил - это получение некоторой уверенности в том, что в сети нет альтернативной жизни (а то знаете ли, если я занимаюсь профилактикой и веду ЗОЖ, это не значит, что я абсолютно здоров и нет необходимости в периодической диспансеризации). В этом поможет Compromise Assessment.

В таком случае, вроде, все сценарии покрыты:
- если нас будут ломать, то как? - расскажет пентест (или Security Assessment в общем случае)
- если нас уже сломали, то где они? - расскажет Compromise Assessment
- насколько у нас хорошо с профилактикой компьютерных атак? - поможет Compliance audit процессов на соответствие любимыми бестпрактисам

#vCISO

Вот какую мысль хочется обсудить в пятницу, о регуляторке и качестве сервиса. В общем случае compliance - хорошая тема, много где это представляет собой тот самый "волшебный пинок" которого не хватает, чтобы заставить инвестировать в безопасность какие-либо ресурсы.

Однако, если результат работ, чтобы не быть голословным, возьмем Security Assessment или Compromise Assessment, требуется для выполнения требований регулятора, заказчик будет заинтересован, очевидно, в выполнении требований регулятора! Получаем, что тогда как в нормальной жизни любой Assessment - это только начало, с точки зрения заказчика, выполняющего требования регулятора - это должно быть окончание: анализ проведен, вот отчет, требования выполнены.

Но только надо, чтобы отчет не содержал серьезных недочетов. Заказчик может потребовать (кто заказывает музыку, тот и танцует!) от поставщика убрать из отчета все, что может его как-то компрометировать перед регулятором (какие-либо уязвимости, найденные на проекте SA, вызванные плохой работой подразделения ИБ, или какие-либо инциденты, найденные на проекте CA, опять же пропущенные, ввиду инфантильности операционной ИБ). Но нормальный поставщик на подобную модификацию отчета никогда не согласится... и тут наш заказчик будет вынужден работать с "плохими" поставщиками, которые либо напишут в отчете все, что попросит заказчик, либо ничего не найдут в ходе своих работ, что с точки зрения результата - одно и то же.

В итоге мы получаем традиционную оборотную сторону: требования регуляторов создают почву для возникновения "плохих" поставщиков. Следует заметить, что с такими поставщиками очень сложно конкурировать, поскольку квалификация исполнителей там не важна, а, следовательно, невысока и себестоимость. Да и спрос на "сговорчивых" поставщиков, тоже есть, так как хочется, провести assessment и закрыть тему, и не думать о том, что любой assessment - это только начало

#vCISO #пятница

Борьба с ложными срабатываниями - залог повышения эффективности функционирования SOC. Работа эта бесконечна и никакие новые методы ее ведения не будут лишними. Метод, лежащий на поверхности - анализ комбинаций, которым мы открываем серию статей о Detection Engineering в рамках MDR. Первая публикация о статье была в канале нашего подразделения Security Services, подписывайтесь на канал и будете в курсе не только о том, что у происходит у нас в Defensive, но также что там у ребят из Offensive, у них там не менее интересно. Также привожу прямую ссылку на статью.

В целом, такой анализ комбинаций интересно посмотреть и в разрезе конкретных эндпоинтов, можно и ML-ку потренировать на таком анализе....

В общем, продолжение следует....

#MDR

Отличный пример того, как оседлать инфоповод: статья ни о чем, приведенные запросы Managed Threat Hunting - поиск уязвимых версий sshd (не самая подходящая задача для MDR 😂. )

Выводы: либо Полупальто не смогло воспользоваться готовым сплитом, либо аномалий для детекта по их телеметрии нет.

Раз уж пишу заметку, дам ссылку на оригинальную статью:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Ссылку на сплоит не буду выкладывать, он успел разбежаться по GitHub, ищи да обрящешь...

От себя добавлю, что 1) попытки поймать race condition в обработке сигнала в телеметрии будет выглядеть как, очевидно, множественные (ооочень много!) отправки сигналов от sshd к sshd, однако это не точный признак и сильно фолсит в определенных сценариях, 2) в логах sshd при попытках удалённой эксплуатации (именно этот сценарий в доступном на GitHub сплоите) будут таймауты - что-то типа «Timeout before authentication».

А вообще, завести даже готовый сплоит - непростая задача, к тому же, он только под х32, коих уже нигде нет, а по x64, складывается ощущение, и сами авторы не проэксплуатировали

#mdr

На мероприятии меня заинтересовали несколько докладов с которыми я запланировал познакомиться поближе. Делюсь.

Когда твои идеи повторяют - это замечательно! Особенно, когда это делают спустя несклько лет

Как минимум, это означает, что когда-то принятые решения были верны и сохраняют свою актуальность, эффективность и результативность на горизонте многих лет. Кроме того, очень приятно ощущать себя лидером рынка, задающим направления исследований, и что уже новые идеи и разработки идеологически основываются на том, к чему когда-то был причастен.

Автоаналиитка придумали в 2018, и, ЕМНИП, уже в 2020 году он был уже на проде. О нем много написано, коллеги по индустрии снабдили его новыми замечательными идеями (некоторые мы проверяли на старте, но они тогда не дали результата, а после доклада появилась мотивация их проверить заново), но заметка сегодня не о том.

Эффективность работы Автоаналитика определяется качеством организации процессов работы команды SOC. Все очень просто: Автоаналитик обучается на решениях, принимаемых командой SOC. Если разные аналитики триажат схожие алерты по-разному, то Автоаналитик неправильно обучится и будет ошибаться, а в каких-то сценариях от него, напротив, будет только вред. Есть масса спорных сценариев, где аналитику SOC все понятно и, вроде как, можно было бы и забить, сэкономить время, однако, надо обязательно оформить все в соответствии с процедурами, в том числе и потому, что Автоаналитик может "обучиться плохому", ибо он не "мыслит" в категориях "и так все понятно" и "можно забить".

Все любят гордиться достижениями своих операционных процессов, однако, это непросто проверить, как оно на самом деле. Вот вам косвенный инструмент - эффективность работы ML-моделей, обучающихся на данных из операционных процессов работы аналитиков: чем четче и корректней работает команда SOC, тем выше результативность этих ML-моделей.

Как наши дети - отражение нас, так и наши ML-помощники отражают насколько мы хорошо работаем на самом деле.

#MDR

Мы живем в эпоху утечек. Сам подписал на несколько каналов, где публикуются утечки, в некоторых из них находил себя по номеру телефона...

Но проблема не только в том, что внешние злоумышленники ломают сети и воруют данные! Который раз самостоятельно замечаю, что всегда, когда я беру ипотеку или покупаю страховку, об этом волшебным образом узнают разные мутные люди, которые начинают мне названивать как с целью предложить "лучшие условия", так и просто мошенники представляющиеся "сотрудниками мобильного оператора", "майорами ФСБ или МВД", "сотрудниками банка" и прочими-прочими. Из чего делается неутешительный вывод, что сотрудники воруют данных не меньше, чем внешние злоумышленники. Но об этом порассуждаем как-нибудь потом, а пока вернемся к внешним атакующим.

Есть такие специализированные системы, DLP. Работая в заказчике, я изучал этот вопрос, занимался выбором подходящего решения, о чем написано несколько статей в старом блоге: раз, два, три. Однако, некий скепсис в эффективности DLP, как технологического решения организационной проблемы, у меня до сих пор сохранился. Вот и сейчас мне интересно: в тех компаниях, у кого фиксировались утечки, использовались DLP? Насколько эффективно они сработали? А если утечка произошла, проводился ли какой-либо анализ, что помешало DLP выполнить единственную свою задачу и предотвратить утечку?

Если есть подобные исследования\разборы Lessons learned или хотя бы маркетинговые листовки о том, как какое-либо решение DLP предотвращает утечки на примере какой-то фактической утечки, пожалуйста, дайте ссылки в комментариях. Буду очень благодарен.

#vCISO

Какое-то время назад мой знакомый Миша у себя в канале опубликовал список книг по невербальной коммуникации. Я не очень верю в эффективность всяких коучей личностного роста (тем более, эзотериков), однако, книжки по психологии, коммуникациям и, связанными с этим, манипулятивным техникам, и даже, было дело, гипнозу, я частенько почитываю, а также уверен в важности невербального общения, о чем рассуждал здесь (ну, конечно, без перегибов 😂). Поэтому списочек книг из Мишиной диссертации для себя прикопал. Делюсь и с вами.

#саморазвитие #книги

Только вчера мы коснулись темы утечек, DLP и мошенников, а сегодня ЦБ расширил список признаков мошеннических операций. Любопытно, что в двух словах новые признаки можно пересказать так: если раньше одна из сторон была поймана на мошенничестве, то это признак того, что она и сейчас мошенничает. Полностью согласен с ЦБ: не надо наступать дважды на те же грабли, а если кто-то уже наступил, надо предостеречь остальных!

Ну а если серьезно, то в моём понимании ФинСерт-у как раз и стоит сфокусироваться именно на мошенничестве и прочих схемах, завязанных именно на банковскую специфику, а блокировать MD5-ки новых образцов ВПО можно сохранить за специализированными вендорами. Фокусировка усилий - залог успеха, и фокусироваться надо туда, где иные участники ничего не делают. Например, антивирусные вендоры едва ли погружаются в схемы мошенничества, но в борьбе с техниками и инструментами атакующих они точно эффективнее, чем движок на основе ВПО-фида ФинСерт). Отраслевым SOC с вендорами и внутренними командами надо строить гибридную модель, тогда у каждого получится занимать тем, где он наиболее осведомлен и результативен.

#vCISO

Если у вас есть интересные исследования, то рекомендую воспользоваться возможностью посетить SAS2024.

Отличные организация, место проведения и общение гарантируются!

Мои коллеги из команды SOC Consulting подготовили статью об использовании MITRE для приоритезации бэклога разработки детектирующей логики. Также по теме можно посмотреть вебинар, правда, на иностранном языке. Может быть полезно для команд так или иначе связанных с Detection engineering-ом, а также поклонников MITRE ATT&CK.

#MDR

Сашу Зайцева, нашего Head of Offensive всегда интересно послушать!

Иногда наши эксперты разговаривают не только кодами, но и голосом. В подкасте «Смени пароль» – серьёзный разговор про становление героя, который более 20 лет занимается оффенсивом (конечно же, только этические пентесты и «красные команды»). Как всё начиналось, как устроена эта профессия сейчас и с какими проблемами сталкиваются пентестеры в своей работе – рассказывает Александр Зайцев:

«В школе тебе дарят 286 компьютер, работающий на частоте 12,5 МГц, его потенциально можно подключить к Интернету по диалапу на скорости 9600 бод. Правда, диалап очень платный, надо искать демо-доступы, обзвонить кучу систем, найти гейты в сеть X.25, оттуда искать возможность зацепиться по PPP и вообще понять, где ты находишься и куда тебя выпустит… Тогда это был необходимый клубок вещей, которые нужно знать, если ты хотел получать доступ к растущим объёмам недоступной ранее информации. Сама среда задавала высокий порог входа.»

Слушать тут: https://podcast.ru/e/7Y9dddSWOjk

А другой выпуск того же подкаста посвящён тяжёлой доле специалистов по AppSec, которые анализируют защищённость веб-приложений:

«Печально, когда заказчик не верит в уязвимость и не может понять, как воспроизвести атаку. Ему уже и скрипт скинули, а он всё говорит, что у него есть защита от такого брутфорса. Приходится очень долго объяснять, даже записывать видео с атакой».

Слушать тут: https://podcast.ru/e/9dn8sQEP7wP

Не могу сказать, что Дуолинго - супер эффективный инструмент для изучения иностранных языков. Да и с учётом последних достижений LLM необходимость в изучении иностранных языков становится все призрачней...

Но все мы состоим из привычек, и нам надо развивать полезные привычки и подавлять вредные. Потратить 5-10 минут в день на гемифицированный тренажер совсем несложно, зато это тренирует ответственность, системность, воспитывает небольшую полезную привычку, способствует тому, чтобы я не забывал испанский и английский, и немного погрузился в китайский, арабский и португальский.

#саморазвитие

PS: в августе я две недели в водном походе на Кольском, без связи, жалко, что красивые 1234 сгорят 😢 но мы их компенсируем замечательными пейзажами Карелии 😁 !!

Стали доступны видео докладов с прошедшей конференции CloudNativeSecurityCon North America 2024. Слайды доступны на сайте конференции.

Определенно рекомендуем ознакомиться с ними.